تكوين نص LUA لتقييم معلمات شهادة DAP

خيارات التنزيل

  • PDF     (492.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (315.6 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (264.9 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٤ أغسطس ٢٠٢٥
معرّف المستند:224470

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة كيف أن يشكل LUA نص تنفيذي أن يكشف شهادة معلم أن يتلقى مستعمل عندما يحاول أن يربط إلى ال VPN.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • مركز إدارة جدار الحماية الآمن (FMC)
    • تكوين VPN للوصول عن بعد (RAVPN)
    • ترميز البرنامج النصي ل LUA الأساسي
    • شهادات SSL الأساسية
    • سياسة الوصول الديناميكي (DAP)

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • Secure Firewall، الإصدار 7.7.0
    • Secure Firewall Management Center، الإصدار 7.7.0


    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    DAP هو ميزة قوية تتيح لمسؤولي الشبكة تحديد سياسات التحكم في الوصول متعددة المستويات استنادا إلى سمات مختلفة للمستخدمين والأجهزة التي تحاول الاتصال بالشبكة. تتمثل إحدى القدرات الأساسية لبرنامج المساعدة الإنمائية في القدرة على إنشاء سياسات تقيم الشهادات الرقمية المثبتة على أجهزة العميل. تعمل هذه الشهادات كطريقة آمنة لمصادقة المستخدمين والتحقق من توافق الأجهزة.


    ضمن واجهة FMC الآمنة من Cisco، يمكن للمسؤولين تكوين سياسات DAP لتقييم معلمات شهادات معينة مثل:

    • الموضوع
    • مصدر
    • الاسم البديل للموضوع
    • الرقم التسلسلي
    • مخزن الشهادات


    ومع ذلك، فإن خيارات تقييم الشهادة المتوفرة من خلال واجهة المستخدم الرسومية (GUI) ل FMC محدودة بهذه السمات المحددة مسبقا. يعني هذا التحديد أنه إذا أراد المسؤول فرض سياسات تستند إلى معلومات شهادة أكثر تفصيلا أو مخصصة، مثل حقول معينة داخل الشهادة أو الملحقات المخصصة، فلا يمكن تحقيق ذلك باستخدام تكوين DAP القياسي وحده.

    وللتغلب على هذا التحديد، يدعم جدار الحماية الآمن من Cisco تكامل البرمجة النصية ل LUA داخل DAP. توفر النصوص التفاعلية LUA المرونة للوصول إلى سمات شهادات إضافية غير مكشوفة من خلال واجهة FMC وتقييمها. تمكن هذه الإمكانية المسؤولين من تنفيذ سياسات وصول أكثر تطورا وتخصيصا استنادا إلى بيانات الترخيص التفصيلية.


    من خلال الاستفادة من البرمجة النصية ل LUA، يصبح من الممكن تحليل حقول الترخيص خارج المعلمات الافتراضية، مثل أسماء المؤسسة، الملحقات المخصصة، أو البيانات الأولية للشهادات الأخرى. وتعزز هذه القدرة الموسعة على التقييم الأمن من خلال السماح بتكييف السياسات بدقة لتلائم متطلبات المنظمة، وضمان عدم السماح إلا للعملاء الحاصلين على شهادات يستوفون معايير محددة ومفصلة بالوصول.

    لذلك، في هذا المستند، يتم تكوين برنامج نصي ل LUA لتقييم المعلمة Organization داخل شهادة عميل من خلال زيادة إمكانيات البرمجة النصية ل LUA.

    التكوين

    1.سجل الدخول إلى واجهة المستخدم الرسومية (GUI) ل FMC، ثم انتقل من لوحة المعلومات إلى الأجهزة > نهج الوصول الديناميكي في القائمة.

    Log In to FMC GUI and Navigate to Devices, then Access Policy

    2.افتح سياسة DAP المطبقة على تكوين RAPN.

    Open the DAP Policy

    3. قم بتحرير السجل المطلوب لتكوين البرنامج النصي LUA بالنقر فوق اسم السجل.

    Edit the Desired Record to Configure the LUA Script

    4. ضمن السجل المحدد، انتقل إلى علامة التبويب خيارات متقدمة لإدخال برنامج LOA النصي الذي يقيم معلمات الشهادة المطلوبة. بعد تكوين البرنامج النصي، انقر حفظ لتطبيق التغييرات. بمجرد حفظ التغييرات في سجل DAP، قم بنشر النهج لدفع التكوين الذي تم تحديثه إلى جهاز FTD.

    Navigate to the Advanced Tab to Enter the LUA Script

    ملاحظة: تم تصميم الرمز المقدم في هذه المقالة لتقييم الشهادات المثبتة على جهاز العميل، والتحقق بشكل خاص من وجود شهادة تتطابق معلمة المنظمة الخاصة بها داخل حقل الموضوع مع القيمة Cisco.

    assert(function()
	local match_pattern = "cisco"
	for k,v in pairs (endpoint.certificate.user) do
		match_value = v.subject_o
		if(type(match_value) == "string") then
			if(string.find(match_value,match_pattern) ~= nil) then
				return true
			end
		end
	end
	return false
end){}
    • يقوم البرنامج النصي بتعريف متغير match_pattern تم تعيينه إلى Cisco، وهو اسم المؤسسة الهدف الذي سيتم العثور عليه.
    • يتكرر عبر كل شهادات المستخدم المتوفرة على نقطة النهاية باستخدام تكرار حلقي.
    • لكل شهادة، تستخرج حقل المؤسسة (subject_o).
    • يتحقق مما إذا كان حقل المؤسسة عبارة عن سلسلة، ثم يبحث عن match_pattern بداخله.
    • إذا تم العثور على تطابق، يقوم البرنامج النصي بإرجاع true، مما يشير إلى مطابقة الشهادة لمعايير النهج.
    • في حالة عدم العثور على شهادة مطابقة بعد التحقق من كل الشهادات، يرجع البرنامج النصي خطأ، مما يؤدي إلى رفض النهج للوصول.

    يتيح هذا النهج للمسؤولين تنفيذ منطق التحقق من صحة الشهادات المخصص بما يتجاوز المعلمات القياسية التي تم تعريفها بواسطة واجهة المستخدم الرسومية (GUI) التابعة ل FMC.

    التحقق من الصحة

    قم بتشغيل الأمر more dap.xml للتحقق من وجود الرمز في تكوين DAP على FTD.

    firepower# more dap.xml


  
    
      Record 1
    
    
      and
    
    
      assert(function()
        local match_pattern = "cisco"
        for k,v in pairs (endpoint.certificate.user) do
                match_value = v.subject_o
                if(type(match_value) == "string") then
                        if(string.find(match_value,match_pattern) ~= nil) then
                                return true
                        end
                end
        end
        return false
end) {}

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    14-Aug-2025
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • لويس سواريز
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات